Поделиться через


Требование зашифрованного подключения к пространству имен

Вы можете потребовать, чтобы клиентские скрипты и приложения устанавливали зашифрованное подключение для проверки подлинности, добавив квалификатор RequireEncryption в MOF-файл MOF, который создает пространство имен.

Зашифрованное подключение к пространству имен WMI указывает RPC_C_AUTHN_LEVEL_PKT_PRIVACY (или PktPrivacy в скрипте) для проверки подлинности. Квалификатор RequiresEncryption приводит к тому, что WMI отклоняет все входящие запросы данных, если они явно не используют зашифрованную проверку подлинности. Дополнительные сведения см. в разделах Настройка уровня безопасности процесса по умолчанию с помощью VBScript или Настройка проверки подлинности с помощью C++.

Вы также можете изменить существующее пространство имен, добавив этот атрибут, а затем скомпилировать MOF-файл еще раз. RequiresEncryption используется в MOF с инструкцией препроцессора пространства имен pragma .

Следующая процедура задает для пространства имен требование зашифрованного подключения.

Установка обязательного шифрования

  1. Создайте MOF-файл или измените существующий MOF-файл, определяющий пространство имен.

    В следующем примере кода показано, что пространство имен, которое будет изменено, — root\MyNamespace , а файл называется MyNamespace_security.mof. RequiresEncryption имеет логический тип данных, поэтому ему необходимо задать значение True или False.

    #pragma namespace("\\\\.\\Root\\MyNamespace") 
    
    [RequiresEncryption(TRUE)] 
    instance of __systemSecurity { };
    
  2. Выполните mofcomp.exe , чтобы скомпилировать MOF-файл.

    c:\mofcomp MyNamespace_security.mof

    В C++ используйте методы IMoFCompiler .

WMI отклоняет клиент, использующий уровень проверки подлинности по умолчанию, так как DCOM согласовывает безопасность с уровнем, необходимым для процесса SVCHOST, в котором выполняется служба WMI. Дополнительные сведения об узлах служб см. в разделе Размещение и безопасность поставщика. Дополнительные сведения о настройке уровней проверки подлинности при подключении к пространствам имен WMI см. в разделах Настройка уровня безопасности процесса по умолчанию с помощью C++, Настройка проверки подлинности с помощью C++ или Настройка уровня безопасности процесса по умолчанию с помощью VBScript.

При возврате данных при асинхронном подключении обратного вызова WMI возвращает запрашивающий компьютер сообщение об отказе в доступе. WMI также вносит запись журнала в журнал событий NT компьютера с зашифрованным пространством имен, указывающую, что безопасное подключение к клиенту установить невозможно.

Начиная с Windows Vista файл WbemCore.log больше не существует. Вы можете проверка журнал событий NT для записей, указывающих на отклоненные входящие запросы данных в пространства имен, требующие шифрования.

Настройка дескрипторов безопасности в среде имен

WbemAuthenticationLevelEnum

Защита удаленного WMI-подключения